Microsoft автоматично активира функцията Windows Extended Protection на сървърите на Exchange след инсталиране на кумулативната актуализация 2024 H1 (известна още като CU14) този месец.
Функцията Extended Protection (EP) ще бъде автоматично включена по подразбиране при инсталиране на Exchange Server 2019 CU14 (или по-нова), за да се подсили функционалността Windows Server auth за намаляване на атаките от типа „удостоверяване на ретранслатор“ и „човек в средата“ (MitM).
„Това ще се случи при стартиране на версията на графичния потребителски интерфейс на Setup и при стартиране на версията на командния ред на Setup, без да се използва превключвателят за настройка /DoNotEnableEP или /DoNotEnableEPFEEWS за отказване“, каза екипът на Exchange.
„Ако сървърите ви не са готови за използване на EP (например използват SSL мостове или има несъответствия между клиентската и сървърната TLS конфигурация) и не се откажете от разрешаването на EP по време на инсталацията, възможно е след инсталирането на CU14 някои функционалности да се нарушат.“
На администраторите се препоръчва да оценят своите среди и да прегледат проблемите, споменати в документацията на предоставения от Microsoft скрипт ExchangeExtendedProtectionManagement PowerShell, преди да включат EP на своите Exchange сървъри (този скрипт се актуализира автоматично при системи, свързани с интернет).
Ако се сблъскат с проблеми след включването на EP, администраторите могат или да се уверят, че всички предварителни условия за EP са изпълнени, или да използват скрипта, за да изключат функцията.
Те могат също така да активират EP на по-стари версии на Exchange Server (т.е. Exchange Server 2016), като използват същия PowerShell скрипт на онлайн сървърите.
От Redmond публикуваха и лесната за следване графика на потока на решенията, вградена по-долу, за да помогнат на тези, които все още трябва да я активират, за да защитят допълнително своята среда на Exchange.
Поток за вземане на решение за Extended Protection (Microsoft)
Microsoft за първи път въведе поддръжка на Exchange Server EP през август 2022 г., като кумулативните актуализации бяха пуснати като част от August 2022 Patch Tuesday, когато бяха поправени няколко уязвимости с критична тежест в Exchange (CVE-2022-21980, CVE-2022-24477 и CVE-2022-24516), позволяващи ескалация на привилегиите.
От Редмънд съобщиха, че освен поправката на тези грешки администраторите ще трябва да активират и функцията Extended Protection (Разширена защита), за да гарантират, че нападателите няма да могат да пробият уязвимите сървъри.
Същото искане беше отправено този вторник за пълно отстраняване на уязвимостта CVE-2024-21410, позволяваща на отдалечени заплахи да увеличават привилегиите си при атаки с NTLM реле.
Една година по-късно компанията обяви, че Exchange Extended Protection ще бъде активирана по подразбиране на всички Exchange сървъри след внедряването на CU14.
Препоръките на Microsoft, споделени през август 2023 г. и зависещи от това каква актуализация на сигурността е инсталирана, включват:
„Препоръчваме на всички клиенти да активират EP в своята среда. Ако вашите сървъри работят с SU от август 2022 г. или по-късен SU, тогава те вече поддържат EP“, заяви екипът на Exchange през август 2023 г.
„Ако имате сървъри, по-стари от SU от август 2022 г., тогава вашите сървъри се считат за трайно уязвими и трябва да бъдат актуализирани незабавно. Освен това, ако имате някакви сървъри на Exchange, по-стари от SU от август 2022 г., ще прекъснете комуникацията между сървърите със сървърите, които имат активиран EP.“
Преди една година Microsoft също така призова клиентите си винаги да актуализират своите локални Exchange сървъри, за да са готови за внедряване на извънредни пачове за сигурност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.